UNIVERSIDAD TECNICA DE MANABI

FACULTAD DE CIENCIAS ADMINISTRATIVAS Y

ECONOMICAS

CARRERA DE CONTABILIDAD Y AUDITORIA

MATERIA:

AUDITORIA DE SISTEMAS INFORMATICOS

TUTOR

Ing. KEVIN MERO

TEMA:

MANUAL

INTEGRANTES:

ARTEAGA ZAMBRANO ANA KAREN

CASTRO ANCHUNDIA EMERITA MONSERRATE

CEVALLOS MENDOZA ANGELA MONSERRATE

MACIAS LAZ GEMA KATHERINE

VELEZ RODRIGUEZ ANDREA STEFANY

SEMESTRE:

OCTAVO “M” DE AUDITORIA

FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS

INFORMATICOS

1. FUNDAMENTOS DE AUDITORIA INFORMATICA

1.1 TIC ( Tecnología de Información y Comunicación)

1.2 SISTEMAS INFORMATICOS

1.3 DEFINICION DE AUDITORIA

1.4 AUDITORIA INFORMATICA

1.5 NECESIDADES DE LA AUDITORIA INFORMATICA

1.6 OBJETIVOS DE LA AUDITORIA INFORMATICA

1.7 SEGURIDAD EN LOS SISTEMAS DE INFORMACION

1.8 TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS

1.9 ORGANISMO REGULADOR DE AUDITORIA INFORMATICA

1.10 CERTIFICADOS OTORGADOS

FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS

INFORMATICOS

TIC (Tecnología de Información y Comunicación)

Las tecnologías de la información y la comunicación (TIC) son un

conjunto de servicios, redes, software y dispositivos que tienen como fin

la mejora de la calidad de vida de las organizaciones y personas dentro

de un entorno, y que se integran a un sistema de información

interconectado y complementario.

Las Tecnologías de la información y la comunicación, son un solo

concepto en dos vertientes diferentes como principal premisa de estudio

en las ciencias sociales donde tales tecnologías afectan la forma de vivir

de las sociedades.1

SISTEMAS INFORMATICOS

Los sistemas informáticos son un subconjunto de subsistemas

formalizado, con distintos grados de cobertura. Por otra parte, se puede

ver el sistema informático como el conjunto de los recursos técnicos

maquinas, y utensilios), financieros (ingresos, gastos y patrimonio) y

humanos (plantilla de informáticos y personal auxiliar), cuyo objetivo

consiste en el almacenamiento, procesamiento y transmisión de la

información de la empresa2

DEFINICIÓN DE AUDITORIA

La auditoria es el examen de las demostraciones y registros

administrativos. El auditor observa la exactitud, integridad y

autenticidad de tales demostraciones, registros y documentos

AUDITORIA INFORMATICA

1http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf

2 http://www.xombra.com/go_articulo.php?nota=66

La auditoría en informática es la revisión y la evaluación de los

controles, sistemas, procedimientos de informática; de los equipos de

cómputo, su utilización, eficiencia y seguridad, de la organización que

participan en el procesamiento de la información, a fin de que por

medio del señalamiento de cursos alternativos se logre una utilización

más eficiente y segura de la información que servirá para una adecuada

toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de

los equipos de cómputo, de un sistema o procedimiento específico, sino

que además habrá de evaluar los sistemas de información en general

desde sus entradas, procedimientos, controles, archivos, seguridad y

obtención de información.

La auditoría en informática es de vital importancia para el buen

desempeño de los sistemas de información, ya que proporciona los

controles necesarios para que los sistemas sean confiables y con un

buen nivel de seguridad. Además debe evaluar todo (informática,

organización de centros de información, hardware y software).3

NECESIDAD DE LA AUDITORÍA INFORMÁTICA

Por tanto la auditoría informática debe analizar:

- La función informática, que engloba el análisis de la organización,

seguridad, segregación de funciones y gestión de las actividades de

proceso de datos.

Los sistemas informáticos, buscando asegurar la adecuación de los

mismos a los fines para los que fueron diseñados.

OBJETIVOS DE LA AUDITORIA INFORMATICA

3http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf

Los objetivos de la auditoría informática son:

- Verificar el control interno de la función informática.

- Asegurar a la alta dirección y al resto de las áreas de la empresa

que la información que les llega es la necesaria en el momento

oportuno, y es fiable, ya que les sirve de base para tomar

decisiones importantes.

- Eliminar o reducir al máximo la posibilidad de pérdida de la

información por fallos en los equipos, en los procesos o por una

gestión inadecuada de los archivos de datos.

- Detectar y prevenir fraudes por manipulación de la información o

por acceso de personas no autorizadas a transacciones que

exigen trasvases de fondos.

SEGURIDAD EN LOS SISTEMAS DE INFORMACION

Debido a la difusión de las tecnologías de la información, la mayoría de

las organizaciones actuales están expuestas a una serie de riesgos

derivados de una protección inadecuada o inapropiada de la

información o de sus sistemas de tratamiento.

Los riesgos fundamentales asociados con la incorrecta protección de la

información son:

Revelación a personas no autorizadas

Inexactitud de los datos

Inaccesibilidad de la información cuando se necesita

Los problemas técnicos, las amenazas ambientales, las condiciones de

instalación desfavorables, los usuarios, la situación política y social,

son otros tantos factores susceptibles de poner en peligro el buen

funcionamiento de los SI4

4 www.monografias.com › Computacion › General

TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS5

Medidas físicas

Medidas lógicas

Medidas administrativas

Medidas legales

ORGANISMO REGULADOR DE AUDITORÍA INFORMÁTICA

- ISACA (Information Systems Audit and Control Association -

Asociación de Auditoría y Control de Sistemas de Información )

CERTIFICACIONES OTORGADAS:

ISACA mantiene el programa de certificación CISA que es reconocida en

forma global y ha sido obtenida por más de 30.000 profesionales

alrededor del mundo. De otro lado, su nueva certificación CISM

(Certified Information Security Manager - Gerente Certificado de

Seguridad de Información) se concentra exclusivamente en el sector de

gerencia de seguridad de la información.6

5 http://www.xombra.com/go_articulo.php?nota=66 6 http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica

Bibliografía:

- http://www.alegsa.com.ar - http://www.wikipedia.com

CONTROL DE LOS SISTEMAS DE INFORMACIÓN

COMPUTARIZADOS

2. CONTROL DE LOS SISTEMAS DE INFORMACIÓN

COMPUTARIZADOS

2.1 OBJETIVOS

2.2 POSIBLES AMENAZAS

2.3 CONTROLES

2.4 CONTROLES GENERALES

2.5 CONTROLES DE APLICACIONES

Bibliografía:

- http://www.alegsa.com.ar - http://www.wikipedia.com

Control de los Sistemas de Información Computarizados

Los datos automatizados pueden ser susceptibles de destrucción,

fraude, error y mal uso.

Las empresas que soportan el procesamiento de todas sus operaciones

criticas del negocio mediante el uso de computadoras y Sistemas de

Información, pueden experimentar pérdidas totales de la funcionalidad

del negocio, si pierden su capacidad de computo por más de unos

cuantos días.

El sistema de información computarizado debe ser controlado con el

objetivo de garantizar su correcto funcionamiento y asegurar el control

del proceso de los diversos tipos de transacciones, la calidad del proceso

de toma de decisiones en un organismo descansa fuertemente en sus

sistemas de información. Un sistema de información abarca

información cuantitativa, tal como los informes de desempeño que

utilizan indicadores, y cualitativa, tal como la atinente a opiniones y

comentarios.

El sistema deberá contar con mecanismos de seguridad que alcancen a

las entradas, procesos, almacenamiento y salidas.

El sistema de información computarizada debe ser flexible y susceptible

de modificaciones rápidas que permitan hacer frente a necesidades

cambiantes de la Dirección en un entorno dinámico de operaciones y

presentación de informes. El sistema ayuda a controlar todas las

actividades del organismo, a registrar y supervisar transacciones y

eventos a medida que ocurren, y a mantener datos financieros.

Las actividades de control de los sistemas de aplicación están diseñadas

para controlar el procesamiento de las transacciones dentro de los

programas de aplicación e incluyen los procedimientos manuales

asociados.

OBJETIVOS

Conocer los principales controles internos en entornos

informatizados.

Diferenciar entre las personas Hackers y Crackers.

Comprender los principales malware que asechan a un sistema

de información automatizado.

Listar prácticas de seguridad informática a seguir en una

empresa.

Entender como el papel de la seguridad informática se aplica a las

tareas cotidianas de las personas.

Ver videos para comprender que técnica de hacking se usaron.

POSIBLES AMENAZAS

• Fallas de Hardware.

• Fallas de Software.

•Acciones del personal.

•Robos de: datos, servicios, equipos, etc.

• Incendios.

• Problemas eléctricos.

•Errores de los usuarios.

•Cambios en los programas.

• Problemas de telecomunicaciones.

OTRAS AMENAZAS

La proliferación de las redes, y específicamente Internet, ha

problematizado más aun la situación.

En este sentido, han surgido dos (2) grandes amenazas:

– HACKER. Persona con acceso no autorizado a una red para lucrarse,

llevar a cabo acciones criminales o sencillamente por placer personal.

– VIRUS. Programa dañino de software que se difunde de un sistema a

otro, plagando la memoria y/o destruyendo programas y/o datos.

CONTROLES

Para minimizar los errores, desastres, delitos por computadoras y fallas

de seguridad, es necesario incorporar políticas y procedimientos

especiales en el diseño, implementación e implantación de los Sistemas

de Información.

Los controles consisten en todos los métodos, políticas y procedimientos

para asegurar la protección de los activos de la institución, la precisión

y la confiabilidad de sus registros. El control debe ser parte integral del

diseño.

Los controles pueden ser de dos tipos:

Generales.

De aplicaciones.

CONTROLES GENERALES

Son aplicables a todos los sistemas de la organización y consisten en

una combinación de software y procedimientos.

DE IMPLANTACION.- Son puntos formales de revisión de las diferentes

etapas del desarrollo del Software.

EL SOFTWARE.- Evitan el acceso al Software. Están diseñados para

evitar cambios no autorizados de los programas y de los datos.

DE HARDWARE.- Deben asegurarse físicamente de forma tal que sólo

tengan acceso a ellos las personas autorizadas.

También contemplan aquellas aplicaciones que verifican posibles fallas

de Hardware.

DE OPERACIONES DE COMPUTO.- También conocidas como

auditorías. Aseguran que los procedimientos programados sean

consistentes y estén siendo aplicados correctamente en su

procesamiento y almacenamiento.

EN LOS DATOS.-Que los datos que están en cintas o discos no estén al

alcance de personas no autorizadas.

ADMINISTRATIVOS.- Son normas, reglas, procedimientos y disciplinas

formales para garantizar que los controles de la institución se ejecuten.

CONTROLES DE APLICACIONES

Son específicos para cada aplicación de computador (nómina, cuentas

por cobrar). Consisten en controles aplicados a los tipos de usuarios

particulares de un sistema y a la programación de los procedimientos.

DE ENTRADAS.- Procedimientos para chequear la exactitud y

completitud de los datos cuando son introducidos en el sistema.

DE PROCESAMIENTO.- Rutinas para garantizar que los datos se

mantienen completos y exactos durante una actualización.

DE SALIDAS.- Medidas que aseguren que los resultados de los

procesamientos hechos por el computador sean exactos, completos y

distribuidos apropiadamente.

LAS NORMAS DE AUDITORIA GENERALMENTE

ACEPTADAS, APLICABLES A LA AUDITORIA

INFORMATICA

3. LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS,

APLICABLES A LA AUDITORIA INFORMATICA

3.1 OBJETIVO DE LAS NORMAS

3.2 INDEPENDENCIA

3.3 COMPETENCIA ÉTICA

3.4 DESEMPEÑO DEL TRABAJO

3.5 EL CONOCIMIENTO DE LAS RELACIONES HUMANAS

3.6 LA ACTITUD POSITIVA

3.7 DENTRO DEL DEPARTAMENTO DE AUDITORIA

3.8 DENTRO DE LA EMPRESA

OBJETIVOS DE LAS NORMAS

Las normas de auditoría son directrices generales que ayudan a los

auditores a cumplir con sus responsabilidades profesionales. Ello

incluye la consideración de capacidades profesionales como lo es la

competencia e independencia, los requisitos de informes y la evidencia.

INDEPENDENCIA

"En todos los asuntos relacionados con la Auditoría, el auditor debe

mantener independencia de criterio". La independencia puede

concebirse como la libertad profesional que le asiste al auditor para

expresar su opinión libre de presiones (políticas, religiosas, familiares,

etc.) y subjetividades (sentimientos personales e intereses de grupo).

Se requiere entonces objetividad imparcial en su actuación profesional.

Si bien es cierto, la independencia de criterio es una actitud mental, el

auditor no solamente debe "serlo", sino también "parecerlo", es decir,

cuidar, su imagen ante los usuarios de su informe, que no solamente es

el cliente que lo contrató sino también los demás interesados (bancos,

proveedores, trabajadores, estado, pueblo, etc.).

La Independencia debe estar basada en:

Actitud y Apariencia.- El auditor informático será independiente

del auditado en actitud y apariencia.

Relación Organizacional.- El área de auditoría informática será

independiente de las áreas auditadas con el fin de permitir la

realización objetiva del auditaje sin influencias no apropiadas del

auditado.

Código de ética profesional.- El auditor debe adherirse al código

de ética profesional.

COMPETENCIA ÉTICA. Es el conocimiento y habilidades que generan la

Educación profesional continuada.

Debe estar basada en:

- Conocimiento y habilidades. – El auditor debe poseer habilidades y

todo el conocimiento para desarrollar su trabajo.

- Educación profesional continuada.- El auditor debe mantener su

competencia técnica mediante un programa continuo de preparación.

DESEMPEÑO DEL TRABAJO. Es la Planeación y supervisión, donde se

encuentran los Requisitos de evidencia y Reportes.

El trabajo debe estar caracterizado por:

> Planeación y supervisión.- Los trabajos deben planearse y

supervisarse para asegurar que se alcanzarán los objetivos y se

cumplirán los estándares.

> Requisitos de evidencia.- Las evidencias encontradas deben ser de tal

naturaleza y suficiencia que soporten los hallazgos y conclusiones del

informe.

Reportes

* Reporte del alcance del auditaje.- Deben incluirse los objetivos del

auditaje, período considerado, naturaleza y extensión del trabajo

realizado y el criterio utilizado para llegar a las conclusiones y

recomendaciones.

* Reporte de hallazgo y conclusiones.- El auditor debe indicar los

hallazgos y conclusiones relativas al trabajo de auditoría realizado y

cualquier reserva que tenga con respecto a los aspectos cubiertos.

EL CONOCIMIENTO DE LAS RELACIONES HUMANAS

El conocimiento de las relaciones humanas es el arma poderosa que

permite la conducción de la “voluntad”, que todos tenemos por el

trabajo. Para esto es necesario que el Auditor Interno empiece dando

ejemplo, integrándose primero como ser humano, como otro

colaborador que persigue el mismo objetivo; asumiendo una actitud de

líder reflejando las relaciones humanas que aplica en su departamento

lo que, en definitiva, no sólo le dará una buena imagen, sino que,

tendrá el “poder” para convencer a los demás para que hagan lo que se

han planificado. Definitivamente, se logra una integración del personal,

que es un impulso para el beneficio presente y futuro de las

organizaciones.

LA ACTITUD POSITIVA

El aspecto de relaciones humanas juega un papel preponderante en

todas las actitudes y actividades que tiene la humanidad. Con mayor

razón, el Auditor Interno que evalúa todos los niveles en la

organización, debe asumir una actitud positiva si quiere que su trabajo

se desarrolle con normalidad. Con el fin de garantizar la comunicación

con todos los sectores de la organización, el Auditor Interno debe

aplicar todas aquellas reglas, normas, actitudes y más de relaciones

humanas, que motiven a que los colaboradores de la empresa confíen

en él y se edifique una imagen clara y positiva de ayuda, ya que su

actitud será la que abrirá o cerrará el campo de acción, así como el de

la aplicación de sus recomendaciones.

DENTRO DEL DEPARTAMENTO DE AUDITORÍA

Para crear un ambiente de integración y colaboración en el trabajo, los

Auditores deben:

* Fortalecer la unidad de grupo para hacer del diálogo, el medio que

garantice la consecución de correctivos pertinentes en los niveles de

organización, administración, supervisión y operación, dando la

importancia que se merece cada uno, en su nivel.

* Promover reuniones periódicas en las que se unifiquen criterios

técnicos y se resuelvan problemas individuales como medio de

actualización de procedimientos de trabajo y, en especial, de las

relaciones humanas.

* Incentivar la retroalimentación de información de conocimientos del

grupo por medio de charlas y/o reuniones de trabajo luego de cada

auditoría. Esto permitirá una convivencia, ya que el Auditor se convierte

en expositor de su propia experiencia y el grupo se entera de los

problemas y soluciones aplicadas.

* Motivar la aplicación de relaciones humanas en el trabajo, procurando

que sea el reflejo de lo que sucede dentro del Departamento de

Auditoría, como el resultado de la integración del personal.

Dentro de la Empresa

Los Auditores deben considerar los siguientes aspectos en relación a la

empresa y su personal.

* Hacer sentir importante al empleado que va a proporcionar la

información, todo colaborador es importante a su nivel más aún si le

hacemos notar que forma parte del complejo engranaje de la empresa y

su participación está involucrada de una y otra manera en las

decisiones que finalmente toma la administración.

* Procurar conocer los nombres de los colaboradores y llamarlos por sus

nombres, esto motiva una actitud de confianza que permite una mejor

comunicación.

* Procurar escuchar y no sólo hablar, esto ayuda a la apertura de un

diálogo que permitirá un mejor entendimiento de los problemas y sus

soluciones.

* Dejar emitir sus opiniones, aún en el caso que el Auditor considere

que no son apropiadas, esto crea un ambiente de participación.

Bibliografía: - PIATTINI Mario y DEL PESO Emilio, “Auditoría Informática. Un enfoque práctico”, RAMA-Editorial, Madrid España

* Procurar ser amable en el trato al personal. No se pierde nada

diciendo “por favor”. Se consigue mayor colaboración e información con

relaciones humanas, educación y respeto, que con una actitud

autoritaria.

* Ser puntual en las reuniones, es signo de respeto. El auditor debe

estar convencido que el respeto, en principio, no es para los demás sino

para uno mismo, si uno respeta su propia escala de valores, de hecho

respetará a los demás.

* Procurar ser equitativo y justo. Si usted está equivocado, admítalo

rápida y enfáticamente.

PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS

4. PROCESO DE AUDITORIA DE SISTEMAS

INFORMATICOS

4.1 INTRODUCCIÓN

4.2 AUDITORIA

4.3 AUDITORIA DE SISTEMAS INFORMÁTICOS

4.4 FASES DE LA AUDITORIA DE SISTEMA

4.5 OBJETIVO GENERAL

4.6 OBJETIVOS ESPECÍFICOS

4.7 PLANIFICACIÓN

4.8 OBJETIVOS DE LA PLANIFICACIÓN

4.9 PLANIFICACIÓN PRELIMINAR

4.10 PLANIFICACIÓN ESPECÍFICA

4.11 EJECUCIÓN

4.12 COMUNICACIÓN DE RESULTADOS

4.13 SIMILITUDES Y DIFERENCIAS CON LA AUDITORÍA

TRADICIONAL

Introducción

A finales del siglo XX, los Sistemas Informáticos se han constituido en

las herramientas más poderosas para materializar uno de los conceptos

más vitales y necesarios para cualquier organización empresarial, los

Sistemas de Información de la empresa. En consecuencia, las

organizaciones informáticas forman parte de lo que se ha denominado

el "management" o gestión de la empresa. Cabe aclarar que la

Informática no gestiona propiamente la empresa, ayuda a la toma de

decisiones, pero no decide por sí misma, es por esto la importancia de

la Auditoría Informática en el funcionamiento de una empresa.

AUDITORIA

La palabra auditoría proviene del latín auditorius, y de esta proviene la

palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

El concepto de auditoría es un examen crítico que se realiza con el fin

de evaluar la eficacia y eficiencia de una sección, un organismo, una

entidad, etc.

Los principales objetivos que constituyen a la auditoría Informática son

el control de la función informática, el análisis de la eficiencia de los

Sistemas Informáticos que comparan, la verificación del cumplimiento

de la Normativa general de la empresa en este ámbito y la revisión de la

eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los

amplios recursos que la empresa pone en juego para disponer de un

eficiente y eficaz Sistema de Información.

Auditoria de Sistemas Informáticos

La auditoria de sistemas es la revisión y la evaluación de los controles

en los sistemas de información, para determinar su uso adecuado,

eficiencia y seguridad en el procesamiento de la información, a fin de

que por medio del señalamiento de cursos alternativos se logre una

utilización más eficiente y segura de la información que servirá para

una adecuada toma de decisiones.

Fases de la Auditoria de Sistemas

Fase contractual

Fase preliminar

Fase final

OBJETIVO GENERAL

Aplicar el proceso de auditoría de Sistemas Informáticos en la empresa

en donde se desempeña profesionalmente.

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE

SISTEMAS

Participación en el desarrollo de nuevos sistemas:

evaluación de controles

cumplimiento de la metodología.

Evaluación de la seguridad en el área informática.

Evaluación de suficiencia en los planes de contingencia.

respaldos, preveer qué va a pasar si se presentan fallas.

Opinión de la utilización de los recursos informáticos.

resguardo y protección de activos.

Control de modificación a las aplicaciones existentes.

fraudes

control a las modificaciones de los programas.

Participación en la negociación de contratos con los proveedores.

Revisión de la utilización del sistema operativo y los programas

utilitarios.

control sobre la utilización de los sistemas operativos

programas utilitarios.

Auditoría de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...

Auditoría de la red de teleprocesos.

Desarrollo de software de auditoría.

PLANIFICACION

Toda actividad requiere de una planificación adecuada para poder

alcanzar los objetivos y metas propuestas. Esta planificación, le permite

al auditor tener una visión clara del trabajo que debe realizar durante

las diferentes fases de la auditoría y administrarlo conforme al tiempo

previo.

Según la guía de Auditoría de Gestión de la Calidad elaborada por

Sabina J. (2008), la planificación de la auditoría comprende el

desarrollo de una estrategia global para su administración, al igual que

el establecimiento de un enfoque apropiado sobre la naturaleza,

oportunidad y alcance de los procedimientos de auditoría que deben

aplicarse. El planeamiento también permitirá que el equipo de auditoría

pueda hacer uso apropiado del potencial humano disponible.

El proceso de la planificación permite al auditor identificar las áreas

más importantes y los problemas potenciales del examen, evaluar el

nivel de riesgo y programar la obtención de la evidencia necesaria para

examinar los distintos componentes de la empresa.

La planificación es la primera fase del proceso de la auditoría y de su

concepción dependerá la eficiencia y efectividad en el logro de los

objetivos propuestos, utilizando los recursos estrictamente necesarios.

La planificación será cuidadosa y creativa, positiva e imaginativa,

considerará alternativas y seleccionará los métodos más apropiados

para realizar las tareas, por tanto esta actividad será coordinada por el

Auditor.

OBJETIVOS DE LA PLANIFICACION

Permitir la realización de un examen adecuado y eficiente que

facilite la consecución de los objetivos de la auditoría en un

tiempo razonable.

Facilitar el control sobre el desarrollo del trabajo y el tiempo que

se invierte en el mismo.

Fijar racionalmente el alcance con que se van a aplicar los

distintos procedimientos de auditoría.

Realizar las actividades de monitoreo y seguimiento de

recomendaciones efectuadas en auditorías anteriores.

PLANIFICACION PRELIMINAR

La planificación preliminar tiene el propósito de obtener o actualizar

la información general sobre los distintos sistemas de información

que posea la empresa, sus responsables, a fin de identificar

globalmente las condiciones existentes para ejecutar la auditoría.

Desde este momento, al conocer los principales sistemas o procesos

de la organización, sus responsables, actividades, insumos y salidas,

estamos en capacidad de identificar aquellos componentes cuya

relación con la misión de la empresa es directa y que además,

demanda significativos recursos del presupuesto empresarial.

Recuerde esta es una etapa que permite conocer la empresa y

específicamente en el caso que nos ocupa los procesos informáticos.

Aquí usted debe aplicar todas sus habilidades y destrezas que hasta

la presente fecha haya estudiado con la finalidad de cumplir con ese

objetivo.

PLANIFICACION ESPECÍFICA

En esta fase se define la estrategia a seguir en el trabajo de campo.

Tiene incidencia en la eficiente utilización de los recursos y en el

logro de las metas y objetivos definidos para la auditoría. Se

fundamenta en la información obtenida inicialmente durante la

planificación preliminar.

La planificación específica tiene como propósito principal evaluar el

control interno, para obtener información adicional, evaluar y

calificar los riesgos de la auditoría y seleccionar los procedimientos

de auditoría a ser aplicados a cada componente en la fase de

ejecución, mediante los programas respectivos. Es decir mediante

estos resultados se determina la estrategia de trabajo requerida para

cada caso, las mismas que incluirán pruebas sustantivas y de

cumplimiento según sea el caso. Estas pruebas conforman el

programa de trabajo que serán asignados a cada proceso, los

mismos que se diseñan como una guía de instrucciones a aplicarse y

que serán distribuidos entre los integrantes del equipo auditor.

EJECUCION

Este nivel del proceso de la auditoría se relaciona con el

cumplimiento de las actividades incluidas en los programas de

trabajo y a base de su aplicación se obtendrá evidencia relacionada.

La evidencia debe ser suficiente, competente y relevante.

COMUNICACIÓN DE RESULTADOS

Aunque es una de las fases que se la ubica casi al final del proceso,

su aplicación deberá ser permanente. Cuando existan hechos

reportables deberán ser comunicados oportunamente. Además es

conveniente mantener una comunicación constante, lo que

garantizará la aplicación oportuna de correctivos, una depuración

adecuada del contenido del informe y un aporte de evidencia

adicional necesaria para garantizar el trabajo ejecutado por los

auditores.

En esta fase es importante que se conformen los hallazgos

respetando los atributos (condición, criterio, causa y efecto) y de esta

forma se debe reunir todos en el informe de auditoría, el mismo que

deberá ser comunicado de manera formal al finalizar el proceso.

Además deberá contener recomendaciones o sugerencias para la

mejora. Para el efecto es importante diseñar un plan de

implementación de recomendaciones que debe incluir los siguientes

elementos:

Propósito de las recomendaciones

Detalle de actividades

Financiamiento

Responsables

Plazos de ejecución

Firmas de aceptación

Debemos tener presente que los papeles de trabajo, las matrices y

toda la información que hemos logrado desarrollar, constituirá la

base para la elaboración del informe final de auditoría.

SEGUIMIENTO

El auditor mediante un examen revisará el cumplimiento del

propósito y actividades. La eficacia del plan de implementación de

recomendaciones depende de una comunicación abierta en todo el

proceso y de la homologación de estos resultados, es decir su

aceptación por parte de los encargados de su aplicación. Esta fase se

la realiza dependiendo del acuerdo que exista entre el auditado y el

auditor.

BIBLIOGRAFIA

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html

Similitudes y diferencias con la auditoría tradicional

Similitudes

No se requieren nuevas normas de auditoría, son las

mismas.

Los elementos básicos de un buen sistema de control

contable interno siguen siendo los mismos; por ejemplo, la

adecuada segregación de funciones.

Los propósitos principales del estudio y la evaluación del

control contable interno son la obtención de evidencia para

respaldar una opinión y determinar la base, oportunidad y

extensión de las pruebas futuras de auditoría.

Diferencias

Se establecen algunos nuevos procedimientos de auditoría.

Hay diferencias en las técnicas destinadas a mantener un

adecuado control interno contable.

Hay alguna diferencia en la manera de estudiar y evaluar el

control interno contable. Una diferencia significativa es que

en algunos procesos se usan programas.

El énfasis en la evaluación de los sistemas manuales está

en la evaluación de transacciones, mientras que el énfasis

en los sistemas informáticos, está en la evaluación del

control interno.